OkoBot: il framework modulare che carpisce le seed phrase da dentro Ledger Live e Trezor Suite
Il team GReAT di Kaspersky ha documentato nel report di Securelist OkoBot, un framework malevolo composto da oltre venti moduli che colpisce gli utenti di criptovaluta su Windows. La catena di attacco è stata ridisegnata a fine aprile 2025; la telemetria sulle vittime copre il periodo aprile 2025-giugno 2026 e GReAT ne ha identificato gli attacchi a gennaio 2026. La campagna è attiva da oltre un anno ed è tuttora in corso, con centinaia di vittime in più di venticinque Paesi, concentrate in Brasile, Vietnam, Canada, Messico e Turchia. Secondo Dmitry Galov (GReAT), citato nel comunicato di Kaspersky, i vettori osservati indicano gli sviluppatori tra i bersagli primari: un dettaglio che sposta la vicenda dal solo furto di criptovaluta al rischio d’ingresso in ambienti aziendali.
Vettori d’ingresso: repository GitHub fasulli e ClickFix
Il primo canale è la tecnica ClickFix, che induce la vittima a incollare ed eseguire comandi apparentemente innocui. Il secondo è più raffinato: un repository GitHub esistito da fine marzo 2025 a giugno dello stesso anno, composto dal solo
README.md
con una finta guida d’installazione in stile ufficiale, indicizzato in cima ai risultati dei motori per la query
SSMS
. Il pacchetto che prometteva SQL Server Management Studio consegnava in realtà una versione dell’editor audio Audacity con un impianto malevolo incorporato in una libreria. Non è avvelenamento della catena di fornitura, perché non risultano compromessi né un pacchetto legittimo né l’account di un manutentore: è abuso di piattaforma e SEO poisoning. Il perno, tuttavia, è lo stesso già osservato nelle campagne di pacchetti open source avvelenati contro gli sviluppatori, la fiducia implicita negli strumenti di lavoro quotidiani. Cambia il vettore, resta la superficie.
La catena e la persistenza RDP
Lo script
TookPS
installa SSH sulla macchina della vittima, apre una connessione verso il server SSH controllato dagli attaccanti e inoltra la porta del demone SSH locale. Dopo un ritardo, è un bot SSH automatizzato, operante lato attaccante, a collegarsi alla porta inoltrata per consegnare i payload: il bot non risiede sull’host colpito. È questo bot a costruire la persistenza più interessante per un pubblico enterprise. Apre le porte del firewall per il traffico RDP in ingresso, crea un utente nel gruppo “Remote Desktop Users”, sostituisce la
termsrv.dll
legittima con una versione modificata per consentire sessioni RDP concorrenti e crea un’attività pianificata chiamata
Apple Sync
che mantiene ogni ora un tunnel SSH inverso sulla porta RDP locale.
Da qui parte l’anello che porta ai plugin. Il bot recupera i moduli via SFTP e li esegue tramite
HDUtil
, un launcher protetto con VMProtect, usando il comando
target
; l’argomento opzionale
nouac
di quel comando esegue il bypass dell’UAC tramite RPC di Windows e un
msconfig.exe
auto-elevato, tecnica descritta da Google Project Zero nel 2019. L’ultima consegna è
Volume2
, un’utility open source collegata a una
protobuf.dll
malevola: la libreria appare legittima ma espone una funzione
ProtobufGetVer2
che decritta e avvia l’implant vero, cioè il dispatcher di plugin. Il payload è cifrato con AES-GCM e chiave statica a 256 bit, ma con il tag di autenticazione omesso, quindi senza verifica d’integrità. Il meccanismo è quello del DLL hijacking, utile come indicatore per la detection; tra i verdetti con cui Kaspersky rileva il framework figura infatti anche
Trojan.Win32.Dllhijack.*
.
L’arsenale modulare e il dispatcher
Il dispatcher interroga il server di comando ogni venti secondi; i ricercatori hanno individuato cinque plugin: un wrapper per CMD, uno per PowerShell, un enumeratore d’ambiente, un dropper e un process injector. È il process injector a mettere in campo i quattro implant veri e propri, iniettandoli in processi legittimi:
ext_daemon
,
SeedHunter
,
MC Keylogger
e
OkoSpyware
. Il primo si aggancia ai processi dei browser basati su Chromium, non solo Chrome: per Microsoft Edge, ad esempio, viene agganciata la
msedge.dll
. Installa estensioni malevole concedendo tutti i permessi richiesti; nell’attacco analizzato l’estensione installata era
Rilide
. L’occultamento passa dalle stesse funzioni interne del browser agganciate dal loader: le estensioni malevole finiscono in un array dedicato e, quando quelle funzioni vengono invocate con tali estensioni come parametro, non fanno nulla e restituiscono un valore costante, sopprimendo le notifiche ed escludendole dall’elenco visibile, mentre le altre estensioni continuano a comportarsi normalmente. In fase d’installazione le estensioni vengono inoltre scompattate nella directory non predefinita
Local Extension Settings
, con il manifest modificato al volo per iniettare un oggetto
custom_args
contenente l’identificativo della macchina infetta (
hwid
) e il browser.
Il
MC Keylogger
registra tasti e appunti (testo, immagini e percorsi dei file copiati), traccia i dispositivi USB collegati e cattura uno screenshot ogni cinque minuti.
OkoSpyware
confronta le finestre attive con un elenco di oltre cento nomi di eseguibili, tra cui wallet come Exodus e Litecoin QT e gestori di password come KeePassXC e 1Password, e intercetta anche i titoli delle finestre dei browser tramite espressioni regolari (ad esempio le pagine delle estensioni MetaMask o Tonkeeper), avviando la registrazione video con FFmpeg e il logging dei tasti. L’esfiltrazione chiude il ciclo ed è anche anti-forense: uno script
TookPS
lanciato da un’attività pianificata riceve dal C2 uno script PowerShell dedicato, invia all’endpoint
ir-post.php
tutti i file prodotti da
MC Keylogger
e
OkoSpyware
, poi li cancella dal sistema e svuota il file di cronologia
ConsoleHost_history.txt
.
L’inganno su Ledger e Trezor
Il modulo
SeedHunter
si inietta nei processi di Trezor Suite, Ledger Wallet e Ledger Live agganciando le funzioni interne del framework Electron delle applicazioni: la finestra fraudolenta nasce quindi dentro l’app legittima. Il modulo interroga il C2
moonsand[.]store
e riceve un flag
Wait
: se è
true
, avvia scansioni periodiche dei dispositivi USB filtrate per VID e PID e attende che venga collegato un Ledger o un Trezor per mostrare la pagina di phishing; se è
false
, la pagina compare subito. Il punto controintuitivo è proprio questo: il dispositivo hardware non viene compromesso, viene aggirato il software companion, ed è l’utente a consegnare la seed phrase digitandola nella schermata falsa. Chi cede quella sequenza perde il controllo dei fondi, perché la frase di recupero vale più della password e non è revocabile.
Un framework mantenuto, attribuzione prudente
L’evoluzione documentata da Kaspersky è la prova che il framework è manutenuto attivamente. Già a marzo 2026 il componente
Volume2
viene installato direttamente da
TookPS
, la vecchia catena
HDUtil
verso
extl
verso
Rilide
risulta abbandonata e sostituita integralmente dal plugin
ext_daemon
(funzionalmente identico a
extl.exe
, solo meno offuscato e privo di VMProtect), mentre
TeviRAT
è stato rimosso perché le sue funzioni sono coperte dal nuovo dispatcher; sempre da marzo 2026 la
protobuf.dll
è stata rinominata
version.dll
. Sull’attribuzione Kaspersky è netta: non collega la campagna ad alcun attore noto. Segnala però indizi circostanziali che rimandano ad attori di lingua russa, tecnica peraltro diffusa in quell’ambiente: i server della prima fase restituiscono una risposta vuota agli indirizzi IP di Russia e CSI, il codice sorgente delle pagine di phishing di
SeedHunter
contiene commenti in russo e l’infostealer
Rilide
circola su forum di cybercrime di lingua russa ad accesso su invito. Un’avvertenza sugli indicatori: il post pubblico ne espone solo un sottoinsieme, mentre la lista completa e gli script di decrittazione sono riservati ai clienti del servizio Kaspersky Threat Intelligence Reporting.
Sul piano difensivo gli artefatti non mancano: file come
%PROGRAMDATA%hwid.dat
(l’identificativo di macchina che ogni componente verifica all’avvio, terminando se assente o non valido, il che ostacola anche l’analisi fuori dall’host bersaglio),
%PROGRAMDATA%HDVideoHDUtil.exe
e
%USERPROFILE%.sshgo.bat
, account non autorizzati nel gruppo “Remote Desktop Users”, traffico SSH in uscita da endpoint utente, la sostituzione di
termsrv.dll
e l’attività pianificata
Apple Sync
, fino allo svuotamento di
ConsoleHost_history.txt
come segnale post-esfiltrazione. Il messaggio operativo resta duplice: trattare le workstation degli sviluppatori come asset ad alto rischio e ricordare agli utenti che nessun software legittimo chiede di digitare la seed phrase del wallet hardware su schermo.

